Análisis de un incidente de hackeo a MongoDB mediante la construcción de un honeypot

Al desarrollar sobre MongoDB, a veces ocurren casos en los que criminales de ransomware se infiltran en el servidor, borran el contenido de la base de datos y luego exigen bitcoins. En lo personal, a inicios de 2018 vi directamente un caso real de personas que hacían un proyecto en equipo a mi lado y sufrieron algo así. En ese momento yo también trabajaba con MongoDB, así que me asusté bastante, pero no sabía con detalle cómo había ocurrido la intrusión.

Se presenta un artículo que analiza brevemente las consultas de MongoDB usadas en este tipo de delitos informáticos, para lo cual se construyó un honeypot, es decir, un servidor señuelo que expone vulnerabilidades de forma intencional para atraer a los atacantes y analizar los métodos que usan. Algo así parece indicar que, si se puede acceder al servidor de base de datos desde internet pública, su existencia queda expuesta rápidamente mediante escaneo y, con el tiempo, en algún momento lo terminan vulnerando a través de alguna debilidad. Al final, las bases de datos definitivamente deben mantenerse bien ocultas para que no queden expuestas directamente.

Referencia - concepto de honeypot:

http://www.itworld.co.kr/tags/58302/%ED%97%88%EB%8B%88%ED%8C%9F/120233